Nouvelle stratégie nationale pour un « cloud » de confiance Question d’actualité au gouvernement par la sénatrice Catherine Morin-Desailly

Gérard Larcher, président du Sénat : La parole est à Madame la présidente Catherine Morin-Desailly pour le groupe de l’Union centriste. Vous avez la parole.

Catherine Morin-Desailly, sénatrice : Merci Monsieur le président. Au moment où un nouveau scandale éclate sur l’espionnage de dirigeants européens par la NSA, ma question s’adresse à Monsieur le ministre de l’Économie Bruno Lemaire et porte sur les incohérences du gouvernement vis-à-vis des GAFAM qui sont aussi le bras armé de la puissance américaine en Europe.
La protection des données de santé des Français reste à cet égard notre préoccupation.
En juillet, ici même monsieur le Ministre, je m’étonnais que ce soit Microsoft qui était chargé d’héberger leur plateforme et ce sans appel d’offres spécifique. Le secrétaire d’État au numérique me répondait alors, au mépris des acteurs technologiques européens, que c’était la meilleure et la seule société. Le président de Dassault Systèmes s’en était ému et avait rappelé à Emmanuel Macron qu’il avait acquis une des plus importantes sociétés mondiales de traitement des données de santé, mais qu’il n’avait même pas été approché.
Depuis on a découvert que plusieurs millions des serveurs de Microsoft, soi-disant incontournables, ont été espionnés par la Chine partout sur la planète et pendant des mois. Comme l’a révélé Élise Lucet, l’architecture de la plateforme a par ailleurs été conçue par le responsable du plus gros revendeur de données médicales au monde, la société américaine IQVIA.
Alors maintenant, que penser de votre annonce le 17 mai dernier d’une nouvelle stratégie pour un cloud dit de confiance incitant des sociétés françaises à utiliser les technologies des GAFAM pour traiter nos données les plus sensibles, donnant ainsi un blanc-seing à des Microsoft ou Google pour entrer dans le saint des saints de nos administrations au moment même où la Commission européenne lance une enquête sur l’usage d’Amazon et de Microsoft par les institutions européennes.
Assumez-vous vraiment ces choix qui mettent encore plus en péril notre sécurité et surtout torpillent nos propres entreprises ?

Gérard Larcher, président du Sénat : Pour vous répondre, la parole est à la secrétaire d’État en charge de l’économie sociale, solidaire et responsable. Madame Olivia Grégoire vous avez la parole.

Olivia Grégoire, secrétaire d’État auprès du ministre de l’Économie, des Finances et de la Relance, chargée de l’Économie sociale, solidaire et responsable : Merci Monsieur le Président. Mesdames, Messieurs les sénateurs, Madame la sénatrice Morin-Desailly, merci de votre question.
Oui, le cloud est partout, il est devenu un outil absolument incontournable pour héberger, traiter, comme vous le savez, vous l’avez rappelé, les données des entreprises, des administrations, des citoyens. Cet essor du cloud est une opportunité pour la France et pour l’Europe.
Il représente, et vous l’avez aussi bien mentionné, des risques : intégrité des données, multiplication des cyberattaques – nous en parlions la semaine passée –, menace des législations extraterritoriales donnant accès à nos données aux États étrangers, par exemple.
Pour répondre rapidement à ces enjeux, et vous l’avez mentionné aussi, le gouvernement a élaboré une stratégie claire en trois piliers :
le label « cloud de confiance » qui rend possibles de nouvelles combinaisons comme la création d’entreprises qui allient actionnariat européen et technologies étrangères sous licence et va permettre aux entreprises et administrations françaises de bénéficier de meilleurs services offerts par le cloud tout en assurant la meilleure protection pour leurs données ;
par ailleurs, la politique « cloud au centre » qui est portée Amélie de Montchalin au cœur de l’administration pour accélérer résolument la transformation numérique manipulant les données sensibles, qui devra impérativement être hébergé sur cloud interne de l’État ou sur un cloud industriel validé par l’ANSSI [Agence nationale de la sécurité des systèmes d’information] ;
enfin une stratégie industrielle ambitieuse inscrite dans le PIA 4 [Programme d’investissements d’avenir] et de France Relance qui va permettre d’asseoir la souveraineté française et européenne en la matière.
Sur le sujet précis du Health Data Hub que vous mentionnez Madame la sénatrice, sachez que dans les délais annoncés par Olivier Véran, c’est-à-dire au plus tard fin 2022, nous garantissons la migration vers un « cloud de confiance » labellisé, donc c’est une garantie que nous vous apportons.
Voici en un mot les priorités de la politique de cloud du gouvernement. Bruno Lemaire mais aussi Amélie de Montchalin, Cédric O et l’ensemble du gouvernement y sont pleinement engagés et précisément sur le sujet du Health Data Hub.
Je vous remercie.

Gérard Larcher, président du Sénat : Madame Morin-Desailly.

Catherine Morin-Desailly, sénatrice : Madame la secrétaire d’État, je regrette vraiment cette complaisance dangereuse vis-à-vis de sociétés qui prétendent créer des technologies protectrices en accordant de coûteuses licences à des acteurs européens pour des offres de cloud made in Europe. Elles ne seront en aucun cas, soyons lucides, protectrices vis-à-vis de la loi FISA [1] qui permet aux services de renseignement américain d’obtenir secrètement les données traitées par des sociétés américaines où qu’elles soient. C’est d’ailleurs cette loi qui a justifié l’annulation de l’accord transatlantique de transfert des données par la Cour de justice de l’Union européenne.
Cette stratégie, je vous le dis, est à contretemps. Elle ne pourra donc pas vraiment répondre aux enjeux de souveraineté numérique contrairement à ce qu’a affirmé Cédric O.
Hélas mes chers collègues, force est de constater que la « gafamisation » de l’État est en marche.

Gérard Larcher, président du Sénat : Merci.